文章目录
信息搜集
一、 域名信息
1. Whois查询
whois指的是域名注册时留下的信息,比如留下管理员的名字、电话号码、邮箱。 知道目标的域名之后,我们要做的第一件事就是获取域名的whois信息,因为域名注册人可能是网站管 理员,可以尝试社工、套路,查询是不是注册了其他域名扩大攻击范围。
1.1 查询网站
-
爱站工具网 https://whois.aizhan.com
-
站长之家 http://whois.chinaz.com
-
VirusTotal https://www.virustotal.com
通过这些网站可以查询域名的相关信息,如域名服务商、域名拥有者,以及他们的邮箱、电话、地址 等。
以secdriver.com为例:
使用爱站工具网查询网站,成功查询到该网站的注册商、创建时间、更新时间、域名服务器等信息。
1.2 kali工具
使用kali来查询网站,命令如下:
whois 域名
例:whois secdriver.com
2. 备案信息查询
网站备案是根据国家法律法规规定,需要网站的所有者向国家有关部门申请的备案,这是国家信息产业部对网站的一种管理,为了防止在网上从事非法的网站经营活动的发生。主要针对国内网站,如果网站搭建在其他国家,则不需要进行备案。
常用的网站有以下这几个:
-
ICP备案查询网:http://www.beianbeian.com
-
天眼查:http://www.tianyancha.com
-
全国互联网安全管理平台:http://www.beian.gov.cn/portal/recordQuery
使用全国互联网安全管理平台查询结果如下:
二、子域名信息
www.baidu.com
根域名 com
主域名 baidu.com
子域名(baidu.com) www.baidu.com
子域名也就是二级域名,是指顶级域名下的域名。假设我们的目标网络规模比较大,直接从主域入手显然是很不理智的,因为对于这种规模的目标,一般其主域都是重点防护区域,所以不如先进入目标的某个子域,然后再想办法迂回接近真正的目标。
1. ip查询
ping secdriver.com
nslookup secdriver.com
2. 网站查询
VirusTotal https://www.virustotal.com
fofa https://fofa.info/
使用VirusTotal查询:进入网站后点击SEARCH-》点击RELATIONS查看查询结果
使用fofa查询
语句:domain="secdriver.com"
3. 工具扫描
使用Layer子域名挖掘机
三、端口信息
1. 插件检测
火狐浏览器安装fofa pro view和shodan插件
2. 工具扫描
2.1 nmap
// 端口信息探测
nmap -sV 192.168.81.148 -p 3389,5985,6588,999,21,80 -A
// 扫描常见端口
nmap -sT 10.10.1.130 -p 80,89,8000,9090,1433,1521,3306,5432,445,135,443,873,5984,6379,7001,7002,9200,930
0,11211,27017,27018,50000,50070,50030,21,22,23,2601,3389
// 扫描127.0.0.1 前3000个端口
nmap -sT 127.0.0.1 -p 1-3000
// 快速扫描前3000个端口
nmap -sS 127.0.0.1 -p 1-3000
2.2 masscan
masscan 47.94.98.63 -p 1-3000 --rate=3000
2.3 御剑端口扫描
四、C段和旁站
1. 旁站
指的是网站在服务器上部署的其他网站
旁注的意思就是从同台服务器上的其他网站入手,提权,然后把服务器端了,就自然把那个网站端了
旁注:同服务器不同站点的渗透方案
2. C段
C段指的是例如192.168.1.4,192是A段,168是B段,1是C段,4是D段
C段嗅探指的是拿下同一C段下的服务器,也就是说是D段1-255中的一台服务器
C段:同网段不同服务器的渗透方案
3. 在线查询网站
同IP网站查询,C段查询,在线C段,旁站工具:https://www.webscan.cc/
也可使用御剑端口扫描工具扫描C段
五、目录信息
通过目录扫描能扫描到敏感文件,后台文件,数据库文件和信息泄露文件等。
dirsearch常用参数:
常用参数:
-u 指定网站
-e 参数指定网站类型 php, jsp, asp, aspx, do, action, cgi, pl, html, htm, js, json,
tar.gz, bak
-w 指定字典扫描
-t 指定线程
-random-agents 使用随机UA
python dirsearch -u http://目标网站 -e* (网站类型)
robots协议
robots.txt
robots.txt是一个协议,而不是一个命令。robots.txt是搜索引擎访问网站的时候要查看的第一个文件。robots.txt文件告诉爬虫在服务器上什么文件是可以被查看的。
六、指纹识别
在web渗透过程中,Web指纹识别是信息收集环节中一个比较重要的步骤,通过一些开源的工具、平台或者手工检测CMS系统是公开的CMS程序还是二次开发至关重要,能准确的获取CMS类型、Web服务组件类型及版本信息可以帮助安全工程师快速有效的去验证已知漏洞。对目标渗透测试过程中,目标的cms是十分重要的信息,有了目标的cms,就可以利用相关bug进行测试,进行代码审计等。
1.识别方式
-
网站特有文件
如/templets/default/style/dedecms.css—dedecms
-
网站独有文件的md5
如favicon.ico,但是该文件可以被修改导致不准确。
-
网站文件命名规则
-
返回头的关键字 如 header=“rememberMe=deleteMe”
-
网页关键字
如 /data/sessions/index.html——dedecms/data/admin/ver.txt
-
Url特征
-
Meta特征
-
Script特征
-
robots.txt
-
网站路径特征
-
网站静态资源
-
爬虫网站目录信息
2. 指纹识别的对象
-
CMS信息:比如大汉CMS、织梦、帝国CMS、phpcms、ecshop等;
-
前端技术:比如HTML5、jquery、bootstrap、pure、ace等;
-
Web服务器:比如Apache、lighttpd, Nginx, IIS等;
-
应用服务器:比如Tomcat、Jboss、weblogic、websphere等;
-
开发语言:比如PHP、Java、Ruby、Python、C#等;
-
操作系统信息:比如linux、win2008、win7、kali、centos等;
-
CDN信息:是否使用CDN,如cloudflare、360cdn、365cyd、yunjiasu等;
-
WAF信息:是否使用waf,如Topsec、safedog、Yundun等;
-
IP及域名信息:IP和域名注册信息、服务商信息等;
-
端口信息:有些软件或平台还会探测服务器开放的常见端口。
3. 识别工具
工具:whatweb
whatweb 域名 //单个域名识别
whatweb -i target.txt --log-brief=result.txt
在线识别:
http://whatweb.bugscaner.com/
http://pentest.gdpcisa.org/whatcms
插件类:Wapplyzer
4. CDN识别
CDN是指内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器。
通过中心平台的负载均衡内容分发,调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。
CDN的基本原理是广泛采用各种缓存服务器,将这些缓存服务器分布到用户访问相对集中的地区或网络内。
在用户访问网站时,利用全局负载技术将用户的访问指向距离最近的工作正常的缓存服务器上,由缓存服务器直接响应用户请求。
识别CDN:
-
nslookup
-
多地ping网站:https://ping.chinaz.com/
https://tools.ipip.net/ping.php -
在线识别:https://www.cdnplanet.com/tools/cdnfinder